Automação para superar desafios da segurança na nuvem

Não é de hoje que a computação em nuvem está transformando fundamentalmente o modo como as empresas fazem negócios e as pessoas interagem. A nuvem oferece níveis de agilidade, escalabilidade e capacidade de processamento que até seu surgimento estavam restritos a grandes companhias que podiam pagar por recursos até então muito caros.

Essa tendência não dá sinais de arrefecimento, muito pelo contrário. A vanguarda do desenvolvimento, ponto em que empresas se tornam capazes de ganhar vantagem competitiva, aponta firmemente na direção das aplicações nativas para nuvem. E isso significa se expor mais para arriscar.  Segundo o Gartner, mais de 85% das organizações devem abraçar o princípio cloud-first até 2025 e não poderão colocar suas estratégias totalmente em prática sem usar arquiteturas e tecnologias nativas da nuvem. Além disso,  a estimativa é que, até o mesmo ano, mais de 95% das cargas de trabalho digitais serão implantadas em plataformas nativas da nuvem. Em 2021, esse patamar foi de 30%.

No entanto, a crescente dependência de recursos na nuvem e o avanço das ciberameaças fizeram surgir um alerta nos últimos tempos. Líderes de negócios e de TI se deram conta de que seus tesouros estão entregues à proteção de terceiros, na nuvem. Um recente estudo da Lacework revelou que 50% dos entrevistados, formados por mais de 700 executivos e profissionais de segurança, já hospedam a maior parte de suas infraestruturas na nuvem pública, mas 79% se sentem desconfiados em relação à atual postura de cibersegurança mantida por suas organizações, seja internamente ou em relação a prestadores de serviços de TI. Em outras palavras, uma parcela significativa da base operacional dos negócios pode estar vulnerável às ações de cibercriminosos. Pensando em uma situação pessoal, você deixaria a porta da sua casa entreaberta ou daria a chave da entrada a estranhos, com acesso à boa parte do seu patrimônio?

Muitas empresas reconhecem que o ritmo acelerado da criação de aplicativos desenvolvidos nativamente para nuvem aumentou exponencialmente, mas medidas para proteger dados acabaram ficando para trás. Além disso, a maioria das organizações (57%) acredita que o número e a complexidade das ferramentas de segurança estão produzindo ineficiências e perda de desempenho significativas.

Para Mark Nunnikhoven, estrategista de nuvem da Lacework, essa pesquisa busca sinalizar a necessidade de mudar a abordagem das empresas para proteger os serviços e as infraestruturas em nuvem. É preciso aprender como conciliar quesitos de segurança, quando entram em conflito com questões de negócios, como a data de lançamento de um produto, por exemplo. Parte do problema é que as empresas nem sequer reconhecem o descompasso entre segurança e inovação e acreditam que já priorizam a segurança suficientemente.

O estudo destaca esse ponto em números. Embora a maioria das organizações (88%) acredite que a segurança na nuvem se tornará mais importante no próximo ano, apenas 24% relatam que a estratégia de dados é um tema de discussão entre o alto escalão. Líderes de empresas até afirmam que segurança é relevante, mas não se discutem reserva de orçamento nem contratação de pessoal para a área,  então como priorizar a segurança?

É verdade que há um sério problema de escassez de talentos na área de cibersegurança, em particular com habilidades para abordar a segurança na nuvem. Para 95% dos entrevistados, a falta de profissionais qualificados e seus impactos não melhoraram nos últimos anos. Mais pessimistas ainda foram 44% do grupo da pesquisa, que afirmaram que o cenário só piorou.

Como não seria adequado transferir a responsabilidade pela segurança dos aplicativos aos desenvolvedores, a saída mais interessante para os entrevistados seria “automatizar a detecção de ameaças e violações durante a execução” – mais da metade das empresas que lideram os caminhos já automatizou 60% ou mais das iniciativas de segurança na nuvem.

Para lidar com a escassez de talentos, as empresas devem adotar soluções de aprendizagem da máquina e inteligência artificial para automatizar certas tarefas na área de segurança, liberando suas equipes para se dedicarem a trabalhos de maior valor agregado, propõe a Lacework. A maioria (55%) dos entrevistados apontou que, pelo menos, metade do tempo gastos em questões de segurança “não era relevante”, ou seja, era desperdiçado. Isso incluiu uma parcela de 26% que acreditava que apenas um quarto ou menos do tempo empregado em assuntos de segurança gerava resultados com importância.

Outro problema disseminado é que profissionais de segurança são invadidos por alertas que, em geral, não dão em nada. Grande parte dos entrevistados (80%) destacou que pelo menos 1 em 5 alertas críticos é falso positivo, enquanto 33% indicaram que pelo menos metade dos alertas críticos é falso positivo. Esses grupos destacam que o maior benefício de eliminar falsos positivos seria lhes permitir dedicar mais tempo a ameaças reais (42%), a outras tarefas importantes (30%) e incrementar a produtividade e os ciclos de inovação (29%). A aprendizagem de máquina, por exemplo, poderia ajudar a reduzir esses ruídos nos alertas.

Outra área em que aprendizagem da máquina e inteligência artificial poderiam contribuir para garantir mais segurança na nuvem é identificação de vulnerabilidades e priorização das ações corretivas. Tome como exemplo a vulnerabilidade Log4j, que ganhou notoriedade em dezembro de 2021 por permitir inserir código mal-intencionado e ganhar o controle de servidores na Internet. Contando com tecnologias capazes de automatizar a detecção de brechas de segurança, é possível ser mais eficiente para identificá-las antes que venham à tona e façam muito estrago. Enfim, as organizações podem atuar em três frentes para conciliar inovação e segurança na nuvem. Primeiro, devem manter os dois lados em pé de igualdade, ou seja, dar igual atenção a ambos. Em segundo lugar, segurança não deve ser considerada uma questão menor, o que deve motivar estratégias no sentido de enxergar verdadeiramente cibercrimes como fator de risco para os negócios. E, em terceiro lugar, deve-se pensar na aprendizagem de máquina e na inteligência artificial como meio para automatizar tarefas relacionadas à segurança.